[发明专利]一种入侵防御系统的引擎检测数据更新方法及装置

说明书

技术领域

本发明属于计算机网络通信安全领域，尤其涉及一种入侵防御系统的引擎检测数据更新方法及装置。

背景技术

随着电脑的广泛应用和网络的不断普及，来自网络内部和外部的危险和犯罪也日益增多。如今，不仅病毒数量剧增，质量提高，而且通过网络快速传播，在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态，使防毒软件失效。传统防火墙加入侵检测系统(Intrusion Detection Systems，简称IDS)的技术已经无法应对一些新的网络威胁。在这种情况下，入侵防御系统(Intrusion Prevention System，简称IPS)技术应运而生，IPS可以深度感知并主动检测流经该IPS的报文，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

入侵防御系统主要有两个部分组成：检测引擎和规则库，前者是报文深度检测的框架流程，后者被解析加载生成引擎检测数据，作为插件嵌入检测引擎中。入侵防御系统的攻击事件识别率取决于规则库的完备性，规则库根据新漏洞的出现需要不定期更新升级。目前的入侵防护系统在引擎检测数据更新时，需要在入侵防御系统的引擎检测数据更新过程中暂停报文通过检测引擎，等引擎检测数据更新完成后，再开启引擎检测功能，这将使设备在这段时间处于无防御状态，有可能在引擎检测数据更新期间放过攻击事件，造成入侵攻击。

发明内容

为解决入侵防御系统的引擎检测数据更新过程中需要暂停报文通过检测引擎有可能造成病毒攻击的问题，本发明提供了一种入侵防御系统的引擎检测数据更新方法，所述方法包括：

对入侵防御系统更新后的规则库进行解析，在内存中生成新的引擎检测数据；

将指向原引擎检测数据的全局指针修改为指向所述新的引擎检测数据，使得检测引擎采用所述新的引擎检测数据。

其中，将指向原引擎检测数据的全局指针修改为指向所述新的引擎检测数据后，还包括：

释放所述原引擎检测数据。

其中，将指向原引擎检测数据的全局指针修改为指向所述新的引擎检测数据后，还包括：

先等待预设时间，再释放所述原引擎检测数据。

其中，在内存中生成新的引擎检测数据后，还包括：

通过第一指针指向所述新的引擎检测数据；

将指向原引擎检测数据的全局指针修改为指向所述新的引擎检测数据具体包括：

将所述第一指针的值赋给所述全局指针。

其中，将所述第一指针的值赋给所述全局指针前，还包括：

将所述全局指针的值赋给第二指针；

释放所述原引擎检测数据具体包括：

释放所述第二指针所指向地址中的数据。

本发明还公开了一种入侵防御系统的引擎检测数据更新装置，所述装置包括：

解析生成模块，用于对入侵防御系统更新后的规则库进行解析，在内存中生成新的引擎检测数据；

指向修改模块，用于将指向原引擎检测数据的全局指针修改为指向所述新的引擎检测数据，使得检测引擎采用所述新的引擎检测数据。

其中，所述指向修改模块，还用于释放所述原引擎检测数据。

其中，所述指向修改模块，还用于先等待预设时间，再释放所述原引擎检测数据。

其中，所述解析生成模块，还用于通过第一指针指向所述新的引擎检测数据；

所述指向修改模块包括：

指针赋值子模块，用于将所述第一指针的值赋给所述全局指针。

其中，所述解析生成模块，还用于将所述全局指针的值赋给第二指针；

所述指向修改模块包括：

地址释放子模块，用于释放所述第二指针所指向地址中的数据。

本发明先在内存中生成新的引擎检测数据，然后直接将指向原引擎检测数据的全局指针修改为指向所述新的引擎检测数据，便可实现通过检测引擎的报文所采用的是新的引擎检测数据，从而实现了引擎检测数据更新的无缝切换，避免了入侵防御系统的引擎检测数据更新过程中需要暂停报文通过检测引擎，从而有效防止病毒攻击。

附图说明

通过参考附图会更加清楚的理解本发明的特征和优点，附图是示意性的而不应理解为对本发明进行任何限制，在附图中：

图1是本发明一种实施方式的引擎检测数据更新方法的流程图；

图2是本发明一种实施例的全局指针切换之前指向示意图；

图3是本发明一种实施例的全局指针切换之后指向示意图；

图4是本发明一种实施方式的引擎检测数据更新装置的结构框图